Những cuộc tấn công ăn cắp tài khoản xảy ra trên cả hai hệ điều hành (nền tảng) iOS của Apple và Android của Alphabet (công ty mẹ của Google). Nhiều smartphone thế hệ mới thường được bảo vệ bởi bộ phận an ninh được cài đặt sẵn hoặc phần mềm của bên thứ 3 nhưng chúng vẫn dễ bị tổn thương bởi những malware luôn biến hoá với khả năng chiếm quyền điều khiển từ xa. Apple từng kêu gọi người dùng iPhone hãy cập nhật hệ điều hành và các phần mềm của hãng sau khi phát hiện ra một lỗ hổng an ninh cho phép hacker chiếm quyền điều khiển hệ điều hành iOS từ xa. Hội đồng thẩm tra các dịch vụ tài chính liên bang Mỹ (FFIEC) gồm 5 cơ quan giám sát hoạt động ngân hàng cũng bổ sung bản hướng dẫn cách đối phó với những nguy cơ tiềm ẩn đối với các giao dịch tài chính thông điện thoại di động mà nguy cơ lớn nhất là malware mobiphone.
Email không hề an toàn
Can thiệp vào những trao đổi thông qua email để lừa đối tượng gửi tiền vào tài khoản của chúng thay vì tài khoản của người thụ hưởng là thủ đoạn đang được bọn trộm công nghệ cao sử dụng nhiều ở các nước châu Á.
Một doanh nhân kinh doanh tại Singapore đã mất tiền sau khi email của ông bị hack tài khoản. Thay vì nhận được tiền từ việc xuất khẩu hàng hoá chế biến đến Trung Đông, số tiền này đi vào một tài khoản khác ở Malaysia. Hoảng sợ, ông gọi người bạn Bugs Tan nhờ giúp đỡ.
“Tài khoản ngân hàng và thông tin invoice đều có dấu hiệu lạ nhưng cả hai bên mua bán không phát hiện được – người bạn nói – Số tiền thanh toán được gửi đến một ngân hàng Malaysia theo yêu cầu của email bị hack mà mật khẩu truy nhập đã bị thay đổi. Khi tôi kiểm tra email bị hack thì thấy tài khoản ngân hàng Malaysia là của một người sống tại Klang chứ không phải của bạn tôi. Bạn tôi bay đến Malaysia để cùng cảnh sát sở tại giải quyết vấn đề”.
Vụ việc này cho thấy người dùng email đừng tin vào sự an toàn của nó. Hãy cẩn thận nếu không muốn mất tiền. Hoạt động tin tặc nhắm vào email đã tăng trong hàng chục năm qua. Bọn hacker thường can thiệp vào trao đổi email giữa hai bên mua bán khi việc trả tiền sắp được thực hiện.
Ví dụ, bên A trả tiền cho bên B và hacker C giả mình là B bằng cách dùng địa chỉ email của B hay tên miền của B trong các trao đổi với A. A tưởng là thật sẽ trả tiền cho C thay vì B. Tiền sẽ bị mất. Nhiều hacker là người Nigeria có visa học tập hay làm việc tại các nước châu Á. Mục tiêu của chúng gồm cả người địa phương lẫn người nước ngoài. Nạn nhân có lúc là công ty lớn.
Bọn tội phạm thường dùng các malware bán tại Trung Quốc và Nga để hack. Vì vậy, công chúng hãy cẩn thận khi giao dịch tài chính qua email. Tốt nhất là luôn xác minh tài khoản ngân hàng của người nhận tiền để bảo đảm bạn giao tiền đúng người. Chỉ cần một cú điện thoại là sẽ giải quyết được tất cả.
Một số tội phạm giả danh bên bán hàng gửi cho nạn nhân email để báo số tài khoản ngân hàng nhận tiền. Thường chúng tiến hành việc này ngay sau khi nạn nhân nhận được invoice báo số tiền phải thanh toán của bên bán. Email nhìn rất thực vì cũng có tên miền tương tự và bên bán ở nước ngoài và bên mua là người địa phương.
Nếu nghi ngờ bên mua nên tiếp xúc với cơ quan chống tội phạm để nhờ họ kiểm tra email là giả hay thật trước khi thanh toán. Khi bạn không thể đăng nhập vào email của mình hoặc thấy thông tin tài khoản bị thay đổi, hộp thư đến không có những email quen thuộc hay đang chờ thì đây là những dấu hiệu cho thấy email của bạn đã bị kẻ khác chiếm quyền.
Các định chế tài chính cũng nên trạng bị kiến thức về an ninh mạng cho nhân viên và khuyến cáo khách hàng nên gọi ngay cho ngân hàng khi thấy một giao dịch được tiến hành bất hợp pháp”.
Tài khoản ngân hàng cũng tệ không kém
Hoạt động tin tặc nhắm vào những tài khoản ngân hàng đang gia tăng nhanh cùng với những màn lừa đảo khác nhiều nạn nhân mất cả trăm ngàn đôla. Bọn hacker cũng tăng cường hoạt động trên điện thoại di động trong một phương thức ăn cắp tiền gọi là “Mobile Bank Heist” đối với những người ai thường xuyên dùng điện thoại di động để thanh toán hay giao dịch.
Các phần mềm độc hại malware chuyên đánh cắp thông tin ngân hàng của khách hàng đã tìm đường vào được mobilephone. Một số phần mềm (chương trình) ác tính điển hình như Acecard và GM Bot đã trở nên phổ thông khắp thế giới khi bọn tội phạm cố tìm ra các phương thức mới và hiệu quả hơn để tấn công các dịch vụ tài chính-ngân hàng.
“Thực tế cho thấy, những tên trộm trên không gian điều khiển (cyberthief) đang tích cực dùng malware để ăn cắp tài khoản ngân hàng từ những khách hàng bất cẩn lúc đăng nhập (log on) vào trường mục ngân hàng trên smartphone của họ”- một chuyên viên an ninh trên không gian điều khiển nhận định.
Thật khó xác định tổng số tiền bị mất cắp do các malware mobilephone bởi vì bọn trộm có thể đăng nhập vào tài khoản thông qua bất cứ kênh bình thường nào khi chúng đã có trong tay tài khoản của khách hàng lấy được từ điện thoại.
Sự lan tràn của các phần mềm malware lan tràn khiến Cơ quan điều tra liên bang Mỹ (FBI) và những cơ quan giám sát hoạt động tài chính ngân hàng Mỹ vào cuộc. “FBI đã cảnh báo về các loại malware mới chuyên nhắm vào các ứng dụng ngân hàng để dùng nó đánh cắp thông tin tài khoản của chủ thẻ – Richard Jacobs, một nhân viên FBI chuyên trách mảng tội ác trên không gian mạng nói – Chúng tôi đã khuyến cáo các định chế tài chính về xu hướng ăn cắp trên công cụ di động bằng cách lén cài malware, đặc biệt là những ngân hàng lớn, đối tượng chính của bọn tội phạm”.
Theo ông Ian Holmes, nhà quản lý các giải pháp chống lừa đảo tài chính của công ty SAS ước tính malware Acecard có khả năng ăn cắp thông tin tài khoản từ những ứng dụng giao dịch tài chính khá phổ biến trên điện thoại di động. “Malware đã đạt được uy tín cao trong thế giới tội phạm, và nhiều hacker tận dụng rất tốt khả năng của chúng để phạm tội” – Holmes nói.
Những mối đe dọa mới đối với khách hàng đã chứng minh cho luận điểm: Bọn tội phạm luôn tìm kiếm phương thức mới tinh vi và tiện lợi hơn để lấy tiền của những người mất cảnh giác khi thao tác chuyển tiền hay thanh toán trên những chiếc điện thoại di động đã vô tình kích hoạt hay cài ngầm một malware nào đó mà không biết. Hoạt động trộm cắp tài khoản đã đi từ những chiếc máy rút tiền tự động và máy tính để bàn sang điện thoại di động.
Số tài khoản thẻ tín dụng bị lấy cắp trong những năm gần đây nhiều đến nỗi có cái bán ra với giá chỉ… $1 trên những trang web ngầm khiến loại hàng hoá này không còn mang lại nhiều lợi nhuận như trước cho bọn tội phạm công nghệ cao trên không gian điều khiển.
Phương thức ăn cắp
Malware đi vào điện thoại di động khi người dùng nhấp vào tin nhắn được gửi từ một nguồn không biết hay nhấp vào quảng cáo trên một trang web lạ.
Một khi malware đã được cài đặt nó sẽ “ngủ yên” cho đến khi người dùng mở ứng dụng giao dịch ngân hàng hợp pháp mà nó đã chiếm quyền điều khiển từ xa. Hacker sẽ theo dõi thao tác của người dùng trên điện thoại, nắm tài khoản và dĩ nhiên tự mình thực hiện việc chuyển tiền sau đó.
Malware mobilephone hoạt động mạnh từ khi người dùng bắt đầu sử dụng thường xuyên các ứng dụng giao dịch tài chính ngân hàng ngay trên điện thoại của mình và các công ty tài chính giới thiệu một loạt dịch vụ thanh toán trên điện thoại di động.
Quỹ dự trữ Liên bang Mỹ (Federal Reserve) cho biết số người có tài khoản ngân hàng đăng ký dùng dịch vụ mobile banking trên smartphone của họ tăng mạnh, trên 60%. Hoạt động chủ yếu của mobile-banking là kiểm tra sự cân đối của tài khoản tiền gửi.
Mobile-phone rất dễ tổn thương trước bọn hacker vì có nhiều người dùng không cài phần mềm chống malware trên điện thoại hoặc phần mềm không có tác dụng. Một nghiên cứu mới do SAS và Javelin Strategy & Research thực hiện cho thấy có chưa đầy 1/3 chủ nhân smartphone dùng phần mềm chống virus và chống malware trên điện thoại di động của họ.
Ngoài ra, một số người không biết điện thoại của họ rất dễ bị tấn công khi cài các ứng dụng không được cấp quyền chính thức vào. “Dù ngân hàng có áp dụng tất cả biện pháp bảo vệ mà công cụ di động không được bảo vệ thì cũng vô ích” – Ross Hogan, phụ trách bộ phận chống gian lận của công ty an ninh mạng Kaspersky Lab nói.
Rõ ràng, sự lan tràn của malware mobile-banking đã tạo nên cơn đau đầu mới cho người dùng điện thoại di động để thực hiện các hoạt động giao dịch hàng ngày từ chuyển tiền đến mua sắm. Nó cũng nói lên sự bất lực của các ngân hàng trong việc bảo vệ khách hàng trong khi khuyên khách hàng nên sử dụng mobile-banking để giảm chi phí và tăng hiệu năng cũng như thuận tiện trong giao dịch tài chính.
Thường thì ngân hàng sẽ bồi hoàn cho khách khoản tiền bị đánh cắp khi khách hàng lưu ý ngay khi nó xảy ra. Tuy nhiên, cũng có nhiều trường hợp phải đưa ra pháp luật. “Trong một số trường hợp, malware còn đánh lừa chủ máy bổ sung thêm ngày sinh và số an sinh xã hội (Social Security) – Jacobs của FBI nói – Một số dạng malware tiến bộ hơn có thể ăn cắp cả mã phê duyệt (verification code) mà ngân hàng gửi đến khách hàng dưới dạng tin nhắn như xác minh 2 bước”.
Một khi malware đánh cắp được tài khoản ngân hàng của chủ điện thoại nó sẽ gửi cho hacker ở xa và để y tự ăn cắp tiền hay bán lại nó. Có tài khoản bán được đến $15,000! Các ngân hàng cho biết luôn tìm cách vô hiệu hoá malware bằng cách cập nhật thường xuyên và nâng cấp các ứng dụng ngân hàng.
Nhưng bọn trộm cũng bám theo sát nút. Các ngân hàng cho biết hệ thống an ninh của nó luôn đưa ra cảnh báo khi thấy có hành động bất thường đối với một tài khoản nào đó, như rút một khoản tiền lớn hoặc tài khoản được đăng nhập từ một thiết bị lạ hay tại địa điểm bất thường.
Khi gặp trường hợp như vậy, ngân hàng thường yêu cầu chủ tài khoản xác minh thêm bước nữa. FBI cho biết việc truy tìm bọn tội phạm chuyên ăn cắp tài khoản không hề dễ dàng vì chủ tài khoản không kiểm tra thường xuyên mà chỉ biết tiền bị mất khi đăng nhập vào tài khoản bằng điện thoại.
Và giải pháp ngăn ngừa
Số người dùng mobilephone để đi vào các tài khoản ngân hàng ngày càng tăng là một thuận lợi cho ngân hàng, giúp tiết giảm chi phí giao dịch nhưng xu hướng này cũng cho bọn tội phạm cơ hội lớn để xâm nhập từ xa vào smartphone và đánh cắp tài khoản ngân hàng của chủ nhân.
Trước tình hình nạn ăn cắp tài khoản ngân hàng gia tăng, chuyên viên chống tội ác mạng Robin Sidel đã đưa ra 8 lời khuyên sau đây đối với những người có giao dịch tài chính ngân hàng trên các công cụ di động.
1/ Ngay cả khi điện thoại của bạn có cài đặt phần mềm an ninh chống đột nhập, bạn cũng cần cài thêm một chương trình chống malware nếu bạn thường xuyên dùng điện thoại để thanh toán và thực hiện các giao dịch tài chính khác thông qua tài khoản ngân hàng.
2/ Phải nắm vững ứng dụng cài thêm vào máy và bảo đảm nó không tạo kẽ hở cho bọn ăn cắp. Muốn vậy, chỉ tải các phần mềm từ trang web chính của nó và chỉ tải nếu thấy cần thiết.
3/ Hãy cẩn thận khi chia sẻ kết nối wifi nơi công cộng nếu bạn dùng wifi để thực hiện các giao dịch cá nhân, đặc biệt là giao dịch tài chính.
4/ Đừng can thiệp vào hệ điều hành như jailbreak iOS để tải xuống những ứng dụng không được phép vào kho ứng dụng của Apple.
5/ Hãy sử dụng những bước an ninh trên điện thoại như truy cập bằng dấu vân tay. Nếu dùng password thì phải bảo đảm nó không giống các password không liên quan đến ngân hàng khác bạn đang dùng.
6/ Đừng nhấp chuột vào các tin nhắn bất thường nếu không biết chắc người gửi là ai.
7/ Thường xuyên kiểm tra tài khoản ngân hàng và chú ý đến những khoản giao dịch bất thường, dù là nhỏ nhất. Bọn hacker có thể rút trước một khoản tiền nhỏ để thăm dò trước khi rút một khoản tiền lớn sau đó.
8/ Hãy báo cáo lập tức giao dịch bất thường bạn phát hiện được cho ngân hàng. Làm việc này càng nhanh bạn sẽ lấy được tiền của mình trở lại mà không phải bổ sung thêm các thủ tục phiền hà.
